win2003组策略-进阶篇

进阶篇

一、管理模板

管理模板的修改实际上是修改注册表。

所有基于注册表的组策略设定存为Registry.pol,放在Sysvol文件夹中。

.adm文件实际上提出一种供企业管理员管理客户端注册表/应用程序配置的方法。

二、GMMC

安全筛选器

缺省:Authenticated Users

WMI筛选器

clip_image002

复制、粘贴组策略

组策略的迁移和迁移表

u 迁移需求(跨域)

? 试验环境—生产环境

? 生产环境1—生产环境2

u 迁移解决方案

? 复制+粘贴

? 备份+导入

u 挑战

? 安全主体(用户、组、计算机)

? UNC

u 迁移表(*.migtable)

? 影射源GPO中安全主体、UNC到目标GPO中新值的文件

迁移表编辑器

Mtedit.exe

GPMC控制台

右键单击“域”,下拉菜单中选择“打开迁移表编辑器”。

右击“组策略对象”,下拉菜单中选择“打开组策略编辑器”。

使用脚本”createmigrationtable.wsf”。

RSoP(resultant set of group policy)策略的结果集

客户对于组策略的第一改进要求

两种模式

记录模式

计划模式

工具

mmc中的组策略结果集

%systemroot%\system32\gpresult.exe

GPMC

组策略结果

组策略建模

高级查看

脚本化GPO操作

在program files\gpmc\scripts中

三、组策略安全设置

帐户策略

l 密码策略

? 定义密码的长度、复杂度、历史密码以及存留周期等

? 注意:密码策略只能设置在域级,设置在ou上的密码策略只对OU所影响的计算机的本地用户有效

l 帐户锁定策略

? 防止攻击者恶意猜测用户密码的保护措施

? 注意:默认管理员不会被锁定

l Kerberos策略

? 定义票据策略(仅适用于域环境)

软件限制策略

? 不能替代防病毒软件

? 优先级

哈希、证书、路径、区域规则

四、组策略最佳实践和技巧

http://bbs.51cto.com/thread-408278-1-1.html

技巧#1单独保留默认的GPOs

Default domain policy & default domain controllers policy

密码、帐户锁定和kerberos策略设置必须在域级别实现

还有以下设置:登陆时间用完自动注销用户,重命名(Domain)管理员账户和重命名(Domain)来宾帐户。

两种方法:

#1:在Default Domain Policy仅修改以上策略设置,然后在其下链接其他GPO

#2:单独保留Default Domain policy-永不修改,创建并链接高优先级的GPO,然后修改策略设置。

为什么是噩梦?KB226243,KB324800,KB267553

不要依赖DCgpofix(这将是最后的还原工具),最好使用您的备份替代

技巧#2设计您的OU结构

将DC放在DC所在的OU并单独管理

为用户和计算机创建单独的OU

使用OU把用户/计算机按照角色分组

默认情况下,所有新帐户创建在cn=users或者cn=computers(不能链接GPO)

Redirusr.exe 重定向用户到指定OU

Redircmp.exe 重定向计算机到指定OU

如:redircmp ou=testou,dc=test,dc=com

注意域功能级别至少是2003才能生效

测试:net computer \\p1 /add,可以发现已重定向至testou

技巧#3:反对跨域GPO链接

将明显的影响处理时间

通过线缆取GPO的时间

使排错和客户端处理GPO的速度非常慢

违反KISS规则keep it simple,stupid

在一个域更改GPO设置将将影响另外一个域

使用GPMC脚本来帮助部署和维护跨域的组策略的一致性

CreateEnvironmentFromXML.wsf

CreateXMLFromEnvironment.wsf

技巧#4:谨慎使用强制/禁止替代/阻止继承、回环处理模式

增加了处理时间,增加了排错的难度

您可以在域级别强制一个标准策略,但是不要使用组织继承

回环处理模式会给配错带来负担,但是有特定的场景使用

通过用于保证等于的每一个用户都能获得相同的配置

用于特定的计算机(例如:公共场所的电脑,图书馆,还有教室)

您需要基于使用的计算机来修改用户策略

经常用户终端服务实现

Kb231287

在组策略中,计算机配置-管理模板-系统-组策略-用户组策略环回模式

技巧#5:使一切简单化

考虑以下几点:

每增加一个GPO都会增加复杂度

限制谁能创建/修改/链接GPOs(委派)

回环处理/强制/阻止继承使事情

KISS:如果可能的话,使用一下三个层次的GPO

默认的域策略

用户帐户设置

一个基线的安全策略(强制)

应用到域中的每个用户,每台计算机

一个指定OU的策略

专门针对某个OU包含一些唯一设置的GPO

反对为每一个GPO设置安全过滤器

仅仅对每个GPO中需要的设置做修改,其它保留默认状态(未配置)

技巧#6:在GPMC中进行所有的操作

使用GPMC的RSOP工具

文档化GPO的设置

进行委派

所有的启用、禁用、链接、强制等

使用它禁用所有的GPO中不使用的部分(用户或计算机)-略微的改进处理时的性能

在测试环境和生产环境进行迁移

和GPMC一起安装的脚本(c:\programfiles\gpmc\scripts)

技巧#7使用GPO规划工具

1、所有的GPO设置参考
[url=http://www.microsoft.com/downloads/details.aspx?familyid=][color=#0008ec]http://www.microsoft.com/downloads/details.aspx?familyid=[/color][/url]7821c32f-da15-438d-8e48-45915cd2bc14&displaylang=en
2、XP SP2-specific(详细):
详细指南:
[url=http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/mangxpsp2/mngxpsp2.mspx][color=#0008ec]http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/mangxpsp2/mngxpsp2.mspx[/color][/url]

技巧#8:即使没有改变设置也强制重新应用策略

使用于当用户是客户计算机的本地管理员的成员的场景

在组策略应用以后覆盖指定的设置

默认情况下,组策略只会检查有没有新的策略设置可用,然后在后台刷新。
强制策略再次处理:

计算机或用户配置>管理模板>系统>组策略>[每一种策略的类型]策略处理

技巧#9:使windows xp同步处理组策略

Windows xp默认是异步处理组策略

Windows 2000默认是同步处理组策略

我的看法:

我不想让操作系统来决定组策略的处理方式

我并不想其它因素影响排错

计算机配置-管理模版-系统-登陆-计算机启动过河登陆时总是等待网络

技巧#10:使用GPO命名惯例

保证GPO的一致性并保证容易理解

创建GPO的管理员越多,一致性越差

使用简洁的名字描述GPO的意图

微软使用的命名惯例:

三个关键字符

范围(end user ,worldwide,IT)

目的

谁管理

示例:“IT-office2003-ITG”

技巧#11:为新的账户制定策略

默认情况下,所有新的账户在cn=users或cn=computers

不能链接gpos到这些容器

技巧#12:我怎么样阻止用户写数据到usb设备?

创建自定义ADM模版

限制windows xp/sp2:(将对设备“写保护“)

Class machine

Category “USB Storage”

Policy “write protect usb storage”

Keyname “system\currentcontrolset\control\storagedevicepolicies”

Valvename “writeprotect”

Valveon numeric 1

Valveoff numeric 0

End policy

End category

禁止读写

。。。。

技巧#13我怎样才能阻止用户访问特定的驱动器(E:、F:、G:、H.etc)?

组策略设置

用户配置-管理模版-windows组件-windows资源管理器-防止从“我的电脑”访问这些驱动器

不能禁用其他的驱动器

自定义管理模版或使用GPDriveOptions

技巧#14 我怎么样快速的复制我的环境用于测试?

CreatXMLformenvironment

Createenvironmentfromxml

技巧#15:什么是对每个gpo文档化的最好的途径

在GPMC中,组策略的save report

技巧#16:我怎么样找出那些GPO包含特定的策略设置?

Gpmc\scripts\findgposbypolicyextension.wsf

技巧#17:密码存储安全

1、windows 使用两种不同的密码表示方法(通常称为“哈希”)生成并存储用户帐户密码
(1)当您将用户帐户的密码设置或更改为包含少于15位字符的密码时,windows会为此密码同时生成LAN Manager哈希(LM哈希)和windows NT哈希(NT哈希)
(2)这些哈希存储在本地安全帐户管理器(SAM)数据库或Active Directory中。
(3)与NT哈希相比,LM哈希相对较弱,因此容易遭到暴力攻击。
(4)考虑阻止windows 存储密码的LM哈唏
2、不允许存储LM哈希值(windows XP或windows server2003)
(1)计算机配置>windows设置>安全设置>本地策略>安全选项>网络安全:不要在下次更改密码时存储LAN Manager哈希值。
(2)有些产品或者应用程序依赖于LM哈唏(Win9x没有安装活动目录客户端和第三方SMB客户端例:samba).
3、参考KB 299656

技巧#18:清空上次登陆的用户名

1、 如果便携电脑被盗,盗窃者需要猜测两个部分(用户名、密码)
2、计算机配置>windows设置>本地策略>安全选项>交互式登录:不显示上次登录名
具体应用场景:台式机设置不显示上次登录名的必要性小点,主要是针对便携式计算机,可以给便携式计算机建个OU,设置不显示上次登录用户名的策略。

技巧#19:面对密码猜测

1、 使用清空上次登录的用户名技巧
2、最好能布置监视的工具(最佳技巧)
(1)不要实现帐户锁定策略(别人就可以利用脚本进行不停的猜测密码,这就会形成一种拒绝服务攻击,让所有域用户帐户锁定),集中在面对密码猜测的响应。
(2)如果可能,在特定的周期内对大量的密码猜测让系统自动响应(找出猜密码的人,而进一步做处理)。
2、如果没有监视工具
(1)考虑使用帐户锁定策略
(2)增加了管理上的负担
(3)接受DOS攻击(通过隐藏上次的登录名减少攻击)

技巧#20使用WMI过滤器(XP and ws2003 only)需要考虑好它的生存周期

为什么?显著的增加了处理时间

每次组策略重新应用时将被重新评估

示例:

微软OTG小组需要对具有适当网卡的计算机实现IPSEC

创建GPO并连接一个单独的WMI过滤器(WMI过滤器用于检查是否正确的网卡)

能够马上实现,而不是等待所有计算机都安装了适当的网卡

一旦IPSEC实现了,WMI过滤器就应当移除

注意,Windows 2000并不会评估WMI过滤器-但gpo仍然会应用

使用WMI scriptomatic来找出正确的wmi查询

技巧#21:创建登陆警报

l 通常用于实现通知用户他们使用的系统属于公司并且

? 他们系统被监视

l 计算机配置-Windows设置-本地策略-安全选项-交互式登录-用户试图登陆时的消息文字

l 您消息文字中提示的内容可以做也可以不去做-但是使用消息文字,最起码可以让你的老板知道您正在做您的份内工作。

技巧#22:严格控制default domain controllers policy用户权利

Default domain controllers policy-计算机配置-windows设置-安全设置-本地策略-用户权限指派

从网路访问此计算机 删除everyone

允许在本地登陆

通过终端服务允许登陆 仅administrators

域中添加工作站 仅adminsitrators

更改系统时间 仅administrators

装载和卸载设备驱动程序仅administrators

还原文件和目录仅administrators

关闭系统仅administrators

技巧#23:限制匿名枚举

l 匿名枚举允许非授权的客户端请求信息

? 域成员列表

? 列出可用的共享

l Default domain controllers policy –计算机配置-windows设置-安全设置-本地策略-安全选项-网路访问

? 允许匿名sid/名称转换

2 止用户使用已知的SID猜测管理员的用户名

? 不允许SAM账户的匿名猜测

2 防止匿名用户从SAM数据库收集信息并枚举共享

? 让每个人的权限应用于匿名用户

2 用户控制是否让匿名用户具有和everyone一样的权利

? 限制匿名访问的命名管道/共享

2 控制匿名用户是否客户访问共享资源

技巧#24:关机清理页面文件

1、 页面文件中存放着很多有用的信息,像临时仓库
2、创建/清理硬盘上的虚拟内存页面文件将增加开机和关机时间
3、这是一个安全考虑(建议无论是DC还是客户端都应启用这个策略)
位置:计算机配置>Windows设置>安全设置>本地策略>安全选项>关机:清除虚拟内存页面文件

技巧#25:打开审核&更改日志文件大小

1、 改变所有日志文件大小为10MB+
(1)计算机配置>Windows设置>安全设置>事件日志>[日志名字]日志最大值
(2)为每个节点设置保持方法。建议方法:不要覆盖事件(手动清除日志)
2、禁用如果无法记录安全审核则立即关闭系统(例:Windows设置的日志大小是200M,经过一段时间,日志写满了,那服务器就会自动关机的)
计算机配置>Windows设置>安全设置>本地策略>安全选项>审核:如果无法记录安全审核则立即关闭系统

技巧#26:强制使LM离开您的网络

1、网络中使用哈唏做身份验证的若干种方法
(1)LM:非常脆弱,很容易被sniffer捕获到口令
(2)NTLM v1:比LM安全,但仍然容易被攻击
(3)NTLM v2:较安全,但是不被以前的客户端支持
(4)Kerberos:非常安全,不被以前的客户端支持
2、有些产品依赖于LM哈唏
(1)Win9x(没有安装活动目录客户端)
(2)第三方的SMB客户端(samba)
3、设置合适的LM兼容级别
Default Domain Controllers Policy>计算机配置>Windows设置>安全设置>本地策略>安全选项>网络安全:LAN Manager身份验证级别(建议设定不在支持LM)
4、参考KB 239869

组策率盘点工具

www.gpanswers.com

clip_image004

clip_image006

Group policy inventory

你可能感兴趣的:(教程,进阶篇,win03组策略)